Академический Документы
Профессиональный Документы
Культура Документы
COMISIÓN EUROPEA
Bruselas, 4.11.2010
COM(2010) 609 final
ES ES
COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL
CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE
LAS REGIONES
Quince años más tarde, este doble objetivo sigue teniendo vigencia y los principios
consagrados en la Directiva siguen siendo válidos. Sin embargo, la rapidez de la evolución
tecnológica y la globalización han modificado profundamente nuestro medio y han
lanzado nuevos retos en materia de protección de los datos personales.
Paralelamente, los métodos de recogida de los datos personales son cada vez más
complicados y se detectan con más dificultad. Por ejemplo, la utilización de herramientas
sofisticadas permite a los agentes económicos localizar mejor a las personas, mediante el
registro de su comportamiento. El mayor recurso a procedimientos que permiten la recogida
automática de datos, como el pago electrónico de billetes, el cobro de peajes en carreteras, o
instrumentos de geolocalización facilitan la determinación de la ubicación de un individuo por
el mero uso por su parte de un dispositivo móvil. Las autoridades públicas también utilizan
1
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
2
Véase Study on the economic benefits of privacy enhancing technologies, London Economics, julio de
2010 (http://ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_en.pdf), p.
14.
ES 2 ES
cada vez más datos personales con distintos fines: para buscar personas cuando se declara una
enfermedad transmisible, para prevenir y luchar más eficazmente contra el terrorismo y la
delincuencia, para gestionar su régimen de seguridad social o a efectos fiscales, en el marco
de sus aplicaciones de administración en línea, etc.
Para responder a esta cuestión, la Comisión inició un examen del marco jurídico actual, con
una conferencia de alto nivel en mayo de 2009, seguida de una consulta pública hasta finales
de 20093. También se iniciaron varios estudios4.
Los resultados obtenidos confirman que los principios fundamentales de la Directiva siguen
siendo válidos y que conviene preservar su neutralidad desde el punto de vista tecnológico.
No obstante, se identificaron varios problemas cuya resolución supone retos específicos. Se
trata, en especial, de lo siguiente:
3
Véanse las respuestas a la consulta pública organizada por la Comisión:
http://ec.europa.eu/justice_home/news/consulting_public/news_consulting_0003_en.htm. A lo largo de
2010 tuvieron lugar consultas más específicas de las partes interesadas. La Vicepresidenta Viviane
Reding también presidió una reunión de alto nivel con las partes involucradas, que se celebró el 5 de
octubre de 2010 en Bruselas. Por otra parte, la Comisión consultó al Grupo de Trabajo del Artículo 29,
que aportó una amplia contribución a la consulta de 2009 (documento WP 168) y adoptó en julio de
2010 un dictamen específico sobre el principio de responsabilidad (documento WP 173).
4
Además del Study on the economic benefits of privacy enhancing technologies (véase la nota a pie de
página n° 2), véase también el Comparative study on different approaches to new privacy challenges, in
particular in the light of technological developments, enero de 2010
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
También está en curso un estudio sobre un análisis de impacto para el futuro marco jurídico de la UE en
materia de protección de datos.
5
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002,
p. 37).
6
La Directiva 95/46/CE sobre protección de datos establece las normas de protección de datos para todos
los actos legislativos de la UE, incluida la Directiva 2002/58/CE sobre la privacidad y las
comunicaciones electrónicas (modificada por la Directiva 2009/136/CE - DO L 337, de 18.12.2009, p.
11). La Directiva sobre la privacidad y las comunicaciones electrónicas se aplica al tratamiento de datos
personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al
público en las redes públicas de comunicaciones. Traduce los principios fijados en la Directiva sobre
ES 3 ES
• Reforzar la dimensión de mercado interior de la protección de datos
ES 4 ES
a regular la protección de datos por medio de un único instrumento jurídico, en particular, en
los ámbitos de la cooperación policial y la cooperación judicial en materia penal. La Política
Exterior y de Seguridad Común sólo está cubierta parcialmente por el artículo 16 TFUE, dado
que una decisión del Consejo, con una base jurídica distinta, debe establecer normas
específicas aplicables a los tratamientos de datos efectuados por los Estados miembros en este
ámbito9.
La presente Comunicación tiene por objeto definir el enfoque que permitirá a la Comisión
modernizar el régimen jurídico de la UE para la protección de los datos personales en todos
los ámbitos de actuación de la Unión, teniendo en cuenta, en particular, los retos derivados de
la globalización y las nuevas tecnologías, de modo que siga garantizando un elevado nivel de
protección de los ciudadanos respecto al tratamiento de estos datos en todos estos ámbitos. La
Unión seguirá siendo así una fuerza motriz en la promoción de normas estrictas de protección
de datos en todo el mundo.
9
Véase el artículo 16, apartado 2, último párrafo, del TFUE y el artículo 39 del Tratado de la Unión
Europea (TUE).
10
Véanse las sentencias del Tribunal de Justicia en los asuntos C-101/01, Bodil Lindqvist, Rec. 2003, p. I-
1297, 96, 97, y C-275/06, Productores de Música de España (Promusicae) contra Telefónica de España
SAU, Rec. 2008 p. I-271. Véase también la jurisprudencia del Tribunal Europeo de Derechos Humanos,
por ejemplo en los siguientes asuntos: S. y Marper contra el Reino Unido, sentencia de 4.12.2008 (nº
30562/04 y 30566/04); y Rotaru contra Rumania, sentencia de 4.5.2000 (nº 28341/95), apartado 55,
TEDH 2000-V.
11
Véanse las definiciones de los términos «responsable del tratamiento» y «encargado del tratamiento» en
el artículo 2, letras d) y e), de la Directiva 95/46/CE.
ES 5 ES
puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra
persona, para identificar a dicha persona»12. Este enfoque, deliberadamente elegido por el
legislador, presenta la ventaja de ser flexible, lo que permite aplicarlo a distintos casos y
evoluciones que afectan a los derechos fundamentales, incluidos los que no eran previsibles
en el momento de la aprobación de la Directiva.
No obstante, una consecuencia de este enfoque amplio y flexible es que hay numerosos casos
en los que no está claro, al aplicar la Directiva, qué enfoque adoptar: el derecho a la
protección de datos de las personas, o el cumplimiento de las obligaciones impuestas por la
Directiva a los responsables del tratamiento13.
12
Véase el considerando 26 de la Directiva 95/46/CE.
13
Véase, por ejemplo, el caso de las direcciones IP, examinado en el Dictamen 4/2007 del Grupo de
Trabajo del Artículo 29 sobre el concepto de datos personales (documento WP 136).
14
Véase, por ejemplo, la sentencia del Tribunal constitucional federal alemán (Bundesverfassungsgericht)
de 27 de febrero de 2008, 1 BvR 370/07.
15
Véanse los artículos 10 y 11 de la Directiva 95/46/CE.
16
Un sondeo de Eurobarómetro realizado en 2009 reveló que cerca de la mitad de las personas
encuestadas consideraban que las declaraciones de confidencialidad que figuran en los sitios web eran
poco claras o muy poco claras (véase el Flash Eurobarómetro n° 282:
http://ec.europa.eu/public_opinion/flash/fl_282_en.pdf).
ES 6 ES
ser la publicidad en línea basada en el comportamiento, en la que la multiplicidad de
participantes y la complejidad tecnológica son tales que los individuos difícilmente pueden
determinar si se recogen datos personales, por quién y con qué fin.
En este contexto, los niños merecen una protección particular, ya que pueden ser menos
conscientes de los riesgos, consecuencias y derechos vinculados al tratamiento de datos
personales17.
La Comisión estudiará las siguientes acciones:
- introducir, en el marco jurídico, un principio general que imponga el tratamiento
transparente de los datos personales;
- introducir obligaciones específicas para los responsables del tratamiento relativas al tipo de
información que debe comunicarse y a las modalidades de su comunicación, incluso por lo
que se refiere a los niños;
- elaborar uno o más modelos normalizados europeos («declaraciones de
confidencialidad») que deberán utilizar los responsables del tratamiento.
También es importante que los ciudadanos sean informados cuando los datos que les
conciernan sean objeto de destrucción, accidental o ilícita, pérdida, alteración, o acceso por
personas no autorizadas o revelación a tales personas. La reciente revisión de la Directiva
sobre la privacidad y las comunicaciones electrónicas instauró una notificación obligatoria
de las violaciones de datos, que no obstante, sólo es aplicable en el sector de las
telecomunicaciones. Dado que el riesgo de las violaciones de datos existe también en otros
sectores (por ejemplo, el sector financiero), la Comisión examinará las modalidades de
ampliar a otros sectores la obligación de notificar las violaciones de datos personales, de
acuerdo con la declaración que presentó al Parlamento Europeo en 2009 en el contexto de la
reforma del marco normativo para las comunicaciones electrónicas18. Este examen no afectará
a las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas, que
debe transponerse en el Derecho nacional a más tardar el 25 de mayo de 201119. Deberá
garantizarse la adopción de un enfoque sistemático y coherente a este respecto.
17
Véase el estudio cualitativo sobre Mayor seguridad para los niños en Internet, por lo que se refiere a los
niños de 9 y 10 años y de 12 a 14 años, que reveló que los niños tienden a subestimar los riesgos
vinculados a la utilización de Internet y a minimizar las consecuencias de sus comportamientos de
riesgo (disponible en la siguiente dirección:
http://ec.europa.eu/information_society/activities/sip/surveys/qualitative/index_en.htm).
18
«La Comisión toma nota de la voluntad del Parlamento Europeo de que la obligación de notificar las
violaciones relativas a datos personales no se limiten al sector de las comunicaciones electrónicas, sino
que se aplique también a entidades como los proveedores de servicios de la Sociedad de la Información
[… ]. Por ello, la Comisión iniciará en breve los trabajos preparatorios necesarios, incluida la consulta
de las partes interesadas, con miras a presentar, en su caso, propuestas en este ámbito a más tardar en
2011 [… ]», que se puede consultar en la siguiente dirección:
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2009-
0360+0+DOC+XML+V0//EN. Véase también el considerando 59 de la Directiva 2009/136/CE que
modifica la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas: «Este interés
de los usuarios por ser informados no se limita, obviamente, al sector de las comunicaciones
electrónicas, por lo que deben introducirse, a escala comunitaria y con carácter prioritario, requisitos de
notificación explícitos y obligatorios en todos los sectores.»
19
Véase el artículo 4 de la Directiva 2009/136/CE.
ES 7 ES
La Comisión:
- examinará las modalidades de la introducción, en el marco jurídico global, de una obligación
de notificación general de las violaciones de datos personales, indicando los destinatarios
de este tipo de notificaciones y los criterios a que se supeditaría la obligación de notificar.
Para garantizar que los ciudadanos gocen de un elevado nivel de protección de datos, deben
cumplirse dos condiciones previas: el tratamiento de los datos por los responsables del
tratamiento debe limitarse únicamente a su propósito (principio de minimización de los
datos) y los interesados deben conservar un control efectivo sobre sus propios datos. Según
el artículo 8, apartado 2, de la Carta, «Toda persona tiene derecho a acceder a los datos
recogidos que le conciernan y a obtener su rectificación». Los individuos deberían siempre
poder acceder a sus datos, rectificarlos, suprimirlos o bloquearlos, salvo que existan motivos
legítimos previstos por la ley. Estos derechos ya están consagrados en el marco jurídico
actual. No obstante, las condiciones de su ejercicio no están armonizadas, y por tanto este
ejercicio es más fácil en unos Estados miembros que en otros. Esta cuestión es especialmente
difícil en el medio en línea, donde los datos a menudo se conservan sin que se haya informado
previamente al interesado o sin que éste haya dado su consentimiento.
El ejemplo de las redes sociales es especialmente esclarecedor a este respecto, ya que presenta
grandes dificultades para que los individuos puedan ejercer un control efectivo sobre los datos
que les conciernen. La Comisión ha recibido varias denuncias de personas que no siempre han
podido recuperar datos personales de los prestadores de servicios en línea, como fotos, y a
quienes se ha impedido por tanto ejercer su derecho de acceso, rectificación y supresión.
Por tanto, estos derechos deben hacerse más explícitos, claros y, eventualmente, reforzarse.
2.1.4. Sensibilización
ES 8 ES
de manifiesto que la gran mayoría de los habitantes de los Estados miembros de la UE
consideran más bien escaso el nivel de sensibilización de sus conciudadanos respecto de la
protección de los datos personales20. Por tanto, una serie de agentes (las autoridades
nacionales, en particular las responsables de la protección de datos y los organismos de
formación, así como los responsables del tratamiento y las asociaciones de la sociedad civil)
deberían fomentar y promover las acciones de sensibilización. Estas acciones deberían
consistir entre otras cosas en medidas no legislativas tales como campañas de sensibilización
en la prensa escrita y los medios de comunicación electrónicos, y la publicación de
información clara en sitios web, que describan con concreción los derechos de los interesados
y las responsabilidades de los responsables del tratamiento.
La Comisión estudiará:
- la posibilidad de cofinanciar acciones de sensibilización respecto de la protección de
datos con ayuda del presupuesto de la Unión;
- la necesidad y la oportunidad de incluir en el marco jurídico una obligación de realizar
acciones de sensibilización en este ámbito.
Conviene pues clarificar las condiciones del consentimiento del interesado, con el fin de
garantizar que se concede siempre con conocimiento de causa, y de garantizar que el
interesado es plenamente consciente de que da su autorización y respecto a qué tratamiento,
de conformidad con lo dispuesto en el artículo 8 de la Carta de los Derechos Fundamentales
de la UE. La claridad de los conceptos clave puede también favorecer las iniciativas de
autorregulación destinadas a desarrollar soluciones prácticas conformes al Derecho de la
Unión.
20
Véase el Flash Eurobarómetro n° 225 – Protección de datos en la Unión Europea
http://ec.europa.eu/public_opinion/flash/fl_225_en.pdf.
21
Véase el artículo 2, letra h), de la Directiva 95/46/CE.
ES 9 ES
2.1.6. Proteger los datos sensibles
El tratamiento de los datos sensibles, es decir, los datos que revelen el origen racial o étnico,
las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
así como el tratamiento de los datos relativos a la salud o a la sexualidad, está prohibido por
regla general, con excepciones limitadas bajo algunas condiciones y garantías22. Sin embargo,
habida cuenta de las evoluciones tecnológicas y en el ámbito social, es necesario revisar las
disposiciones existentes relativas a los datos sensibles, con el fin de determinar si convendría
someter otras categorías de datos a esta normativa y precisar aún más las condiciones
aplicables a su tratamiento. Esto afecta, por ejemplo, a los datos genéticos, que actualmente
no se mencionan expresamente como una categoría de datos sensibles.
Para garantizar la aplicación de las normas de protección de datos, es esencial disponer de una
normativa eficaz en materia de vías de recurso y sanciones. Numerosos son los casos en
que una violación de estas normas en detrimento de una persona afecta también a un gran
número de otras personas que se encuentran en una situación similar.
22
Véase el artículo 8 de la Directiva 95/46/CE.
23
Sentencia del Tribunal de Justicia en el asunto C-101/01, Bodil Lindqvist, Rec. 2003, p. I-1297,
apartados 96 y 97.
ES 10 ES
Al mismo tiempo, la Directiva otorga a los Estados miembros un margen de maniobra en
algunos ámbitos y les autoriza a mantener o introducir regímenes especiales para situaciones
específicas24. Estos elementos, junto con el hecho de que los Estados miembros aplican a
veces incorrectamente la Directiva, son la causa de divergencias entre las legislaciones
nacionales que transponen la Directiva, que contradicen uno de sus objetivos
principales, a saber, garantizar la libre circulación de datos en el mercado interior. Esto
sucede en numerosos sectores y contextos, por ejemplo, en el tratamiento de datos personales
en el contexto profesional o con fines de salud pública. La falta de armonización es uno de los
principales problemas recurrentes puestos de relieve por las partes involucradas, en particular
los agentes económicos, ya que implica costes suplementarios y una sobrecarga
administrativa. Es el caso, en particular, de los responsables del tratamiento establecidos en
varios Estados miembros y que deben cumplir requisitos y prácticas distintos en cada uno de
ellos. Además, las aplicaciones divergentes de la Directiva por los Estados miembros crean
una inseguridad jurídica no sólo para los responsables del tratamiento, sino también para los
interesados, creando el riesgo de distorsionar el objetivo de un nivel equivalente de protección
que se supone que la Directiva debe alcanzar y garantizar.
La Comisión estudiará los medios de alcanzar una mayor armonización de las normas de
protección de datos en la UE.
La Comisión estudiará los distintos medios para simplificar y armonizar el actual sistema
de notificación, incluida la posible elaboración de un formulario de registro uniforme
válido en toda la Unión.
24
Ibidem, apartado 97. Véase también el considerando 9 de la Directiva 95/46/CE.
25
Véase el artículo 18 de la Directiva 95/46/CE.
26
Informe de la Comisión - Primer informe sobre la aplicación de la Directiva sobre protección de datos
(95/46/CE) - COM(2003) 265.
ES 11 ES
aplicable27 era «deficiente en varios casos, lo que puede provocar que surja el tipo de conflicto
jurídico que este artículo pretende evitar». La situación no ha mejorado desde entonces, a
resultas de lo cual los responsables del tratamiento y las autoridades de control de la
protección de datos no saben siempre claramente cuál es el Estado miembro responsable y
cuál es la legislación aplicable cuando hay varios Estados miembros implicados. Tal es el
caso, en particular, cuando el responsable del tratamiento está sujeto a diferentes requisitos en
distintos Estados miembros, cuando una empresa multinacional está establecida en varios
Estados miembros, o cuando el responsable del tratamiento no está establecido en la Unión,
pero presta sus servicios a residentes de la UE.
Sin embargo, la Comisión considera que, aunque el tratamiento de los datos personales se
confíe a un responsable establecido en un tercer país, los interesados deben poder beneficiarse
de la protección a que tienen derecho en virtud de la Carta de los Derechos Fundamentales de
la Unión Europea y de la legislación de la UE en materia de protección de datos.
La Comisión estudiará pues los medios de garantizar que los responsables del tratamiento
establezcan políticas y mecanismos eficaces para garantizar el respeto de las normas en
materia de protección de datos. De esta manera, tendrá en cuenta el debate actual sobre la
posible introducción de un principio de «rendición de cuentas» (accountability)29. No se
27
Véase el artículo 4 de la Directiva 95/46/CE.
28
El Espacio Económico Europeo incluye Noruega, Liechtenstein e Islandia.
29
Véase, en particular, el dictamen n° 3/2010 del Grupo de Trabajo del Artículo 29, adoptado el 13 de
julio de 2010.
ES 12 ES
trataría de aumentar la carga administrativa que pesa sobre los responsables del tratamiento,
puesto que estas medidas tendrían más bien por objeto establecer garantías y mecanismos de
protección más eficaces, reduciendo y simplificando al mismo tiempo algunos trámites
administrativos, como las notificaciones (véase el apartado 2.2.2).
30
Por lo que respecta a las PET, véase lo siguiente: Comunicación de la Comisión al Parlamento Europeo
y al Consejo sobre el fomento de la protección de datos mediante las tecnologías de protección del
derecho a la intimidad (PET) - COM(2007) 228. El principio de «privacidad a través del diseño»
significa que la protección de la intimidad y los datos personales se tiene en cuenta a lo largo de todo el
ciclo de vida de las tecnologías, desde su concepción hasta su despliegue, utilización y eliminación
final. Este principio figura, en particular, en la Comunicación de la Comisión «Una Agenda Digital para
Europa» COM(2010) 245.
31
La posibilidad actual del responsable del tratamiento de designar a un responsable de la protección de
datos para velar, de forma independiente, por el respeto de las normas nacionales y de la UE en materia
de protección de datos y para ayudar a las personas interesadas, ya se ha utilizado en varios Estados
miembros (véase, por ejemplo, el Beauftragter für den Datenschutz en Alemania y el correspondant
informatique et libertés (CIL) en Francia).
32
Véase el artículo 27 de la Directiva 95/46/CE.
ES 13 ES
productos y servicios que sean conformes a las normas de protección de la intimidad33. Esta
medida no sólo proporcionaría una orientación a las personas que utilizan estas tecnologías,
productos o servicios, sino que sería importante en cuanto a la responsabilidad del
responsable del tratamiento, pues ayudaría a probar que ha cumplido efectivamente sus
obligaciones (véase el apartado 2.2.4). Por supuesto, habría que garantizar la fiabilidad de
tales distintivos de protección de la intimidad, así como su compatibilidad con las
obligaciones legales y las normas técnicas internacionales.
La Comisión:
33
A este respecto, véase también la Comunicación sobre las PET citada en la nota a pie de página n° 30.
34
Véase el artículo 3, apartado 2, primer guión, de la Directiva 95/46/CE.
35
Véase el artículo 16 del TFUE.
36
Véase COM(2009) 262, de 10.6.2009, y COM(2010) 171, de 20.4.2010.
37
Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de
datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO L 350,
de 30.12.2008, p. 60). La Decisión marco sólo prevé una armonización mínima de las normas de
protección de datos.
ES 14 ES
Esta distinción es difícil de establecer en la práctica y puede complicar la aplicación efectiva
de la Decisión Marco38.
Asimismo, la Decisión Marco contiene una excepción demasiado amplia al principio de
limitación de la finalidad. Otra de sus deficiencias es la ausencia de disposiciones que
prevean una diferenciación de las distintas categorías de datos en función de su grado de
exactitud o fiabilidad, y en particular una diferenciación de los datos basados en hechos de los
basados en opiniones o valoraciones personales39, así como una diferenciación de las distintas
categorías de interesados (delincuentes, sospechosos, víctimas, testigos, etc.), combinada con
garantías específicas para los datos relativos a personas no sospechosas40.
Esta situación puede afectar directamente a las posibilidades de las personas de ejercer
sus derechos en materia de protección de datos en estos ámbitos (por ejemplo, el derecho
a saber qué datos personales se tratan y se intercambian, por quién y con qué fines, y el de
conocer las condiciones de ejercicio de estos derechos, tal como el derecho de acceso a los
datos que les conciernen).
38
Esta distinción no existe en los instrumentos pertinentes del Consejo de Europa como el Convenio para
la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal
(CETS n° 108), su Protocolo adicional relativo a las autoridades de control y a la transferencia de datos
(ETS nº 181), y la Recomendación nº R (87) 15 del Comité de Ministros por la que se regula el uso de
datos personales en el ámbito policial, adoptada por el Consejo de Europa el 17 de septiembre de 1987.
39
Tal como lo exige el Principio 3.2 de la Recomendación n° R (87) 15.
40
Contrariamente al Principio 2 de la Recomendación n° R (87) 15 y a sus informes de evaluación.
41
Véase la presentación general de estos instrumentos en la Comunicación de la Comisión «Panorama
general de la gestión de la información en el espacio de libertad, seguridad y justicia» - COM(2010)
385.
42
Los instrumentos correspondientes establecieron unas autoridades de control comunes con el fin de
garantizar el control de la protección de datos, además de los poderes de control generales conferidos
por el Reglamento (CE) n° 45/2001 al Supervisor Europeo de Protección de Datos (SEPD) sobre las
instituciones, órganos, oficinas y agencias de la Unión.
ES 15 ES
investigación, la detección o la persecución de infracciones penales, o la aplicación de
sanciones penales.
La Comisión, en particular:
- examinará la oportunidad de ampliar la aplicación de las normas generales de protección
de datos a los ámbitos de la cooperación policial y judicial en materia penal, incluso para
el tratamiento a nivel nacional, previendo al mismo tiempo si es preciso limitaciones
armonizadas a algunos derechos de las personas en materia de protección de datos, por
ejemplo por lo que se refiere al derecho de acceso o al principio de transparencia;
- examinará la necesidad de introducir disposiciones específicas y armonizadas en el nuevo
marco general que regula la protección de datos, por ejemplo por lo que se refiere al
tratamiento de los datos genéticos a efectos del Derecho penal o la distinción que debe
establecerse entre las distintas categorías de interesados (testigos, sospechosos, etc.) en los
ámbitos de la cooperación policial y la cooperación judicial en materia penal;
- iniciará, en 2011, una consulta de todas las partes interesadas sobre la mejor manera de
revisar los sistemas de control actuales en los ámbitos de la cooperación policial y la
cooperación judicial en materia penal, con el fin de garantizar el ejercicio de un control
eficaz y coherente de la protección de datos en el conjunto las instituciones, órganos, oficinas
y agencias de la Unión;
- evaluará la necesidad de alinear, a largo plazo, las distintas normas sectoriales, adoptadas
en la UE para la cooperación policial y judicial en materia penal y contenidas en
instrumentos específicos, con el nuevo marco jurídico general de la protección de datos.
Cuando la Comisión considera adecuado el nivel de protección garantizado por un tercer país,
los datos personales pueden circular libremente desde los veintisiete Estados miembros de la
UE y los tres países miembros del EEE hacia ese tercer país, sin que sea necesaria ninguna
otra garantía. Sin embargo, las condiciones exactas que deben cumplirse para que la Comisión
reconozca el carácter adecuado del nivel de protección no están actualmente definidas de una
manera suficientemente precisa en la Directiva sobre protección de datos. Además, la
Decisión Marco no prevé la adopción de este tipo de decisión por la Comisión.
ES 16 ES
otro. Asimismo, los instrumentos jurídicos existentes no establecen condiciones precisas y
armonizadas en cuanto a las transferencias que pueden considerarse legítimas. Por ello, las
prácticas varían de un Estado miembro a otro.
Además, por lo que se refiere a las transferencias hacia terceros países que no garantizan un
nivel de protección adecuado, las cláusulas modelo actuales de la Comisión para la
transferencia de datos personales a los responsables del tratamiento43 y a los encargados del
tratamiento44 no están concebidas para situaciones extracontractuales y no pueden, por
ejemplo, aplicarse a transferencias entre Administraciones públicas.
Además, los acuerdos internacionales celebrados por la UE o sus Estados miembros exigen a
menudo la inserción de cláusulas específicas o principios relativos a la protección de datos.
Esto puede dar lugar a textos distintos con disposiciones y derechos incoherentes y, por
consiguiente, que se presten a interpretaciones divergentes, en detrimento del interesado. Por
consiguiente, la Comisión anunció que trabajaría en los elementos esenciales relativos a la
protección de los datos personales en los acuerdos celebrados entre la Unión y terceros países
a efectos de la aplicación de la ley45.
Otros medios que se han desarrollado en forma de autorregulación, como los códigos de
conducta internos de algunas empresas (normas vinculantes para las empresas)46, pueden
también constituir una herramienta útil para las transferencias legítimas de datos personales
entre las empresas de un mismo grupo. No obstante, las partes involucradas han sugerido que
este mecanismo puede mejorarse y facilitarse su aplicación.
Habida cuenta de los problemas puestos de relieve, es preciso mejorar, en general, los
mecanismos existentes de transferencia internacional de datos personales, garantizando al
mismo tiempo un nivel adecuado de protección de estos datos en caso de transferencia o
tratamiento fuera de la UE o el EEE.
43
Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo
para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (DO L 181
de 4.7.2001, p. 19); Decisión 2002/16/CE de la Comisión, de 27 de diciembre de 2001, relativa a las
cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento
establecidos en terceros países, de conformidad con la Directiva 95/46/CE (DO L 6 de 10.1.2002, p.
52); Decisión 2004/915/CE de la Comisión, de 27 de diciembre de 2004, por la que se modifica la
Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas
contractuales tipo para la transferencia de datos personales a terceros países (DO L 385 de 29.12.2004,
p. 74).
44
Decisión 2010/87/CE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros
países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO L 39 de
12.2.2010, p. 5).
45
Plan de acción por el que se aplica el programa de Estocolmo (véase la nota a pie de página n° 36).
46
Por «normas vinculantes para las empresas» se entienden los códigos de buenas prácticas basados en las
normas europeas de protección de datos, que las multinacionales elaboran y siguen voluntariamente
para garantizar un nivel adecuado de protección de los datos personales transferidos entre empresas que
forman parte de un mismo grupo y que están vinculadas por las mismas normas internas. Véase:
http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.
pdf.
ES 17 ES
La Comisión se propone examinar los medios para:
- mejorar y racionalizar los procedimientos actuales de transferencia internacional de
datos, incluidos los instrumentos jurídicamente vinculantes y las «normas vinculantes para las
empresas», con el fin de lograr un enfoque de la UE más uniforme y más coherente
respecto a los terceros países y las organizaciones internacionales;
- clarificar su procedimiento de evaluación del carácter adecuado del nivel de protección
garantizado en un tercer país o una organización internacional y precisar los criterios y
condiciones aplicables;
- definir los elementos esenciales en materia de protección de datos que deberían utilizarse
en todos los tipos de acuerdos internacionales celebrados por la UE.
Por lo que se refiere a las normas técnicas internacionales elaboradas por los organismos de
normalización, la Comisión considera que una coherencia entre el futuro marco jurídico y
estas normas será esencial para garantizar una aplicación sistemática y práctica de las normas
de protección de datos por los responsables del tratamiento.
ES 18 ES
2.5. Reforzar el marco institucional para una mejor aplicación de las normas de
protección de datos
47
Sentencia del Tribunal de Justicia, de 9 de marzo de 2010, en el asunto C-518/07, Comisión contra
Alemania.
48
Este es actualmente el caso de los grandes sistemas informáticos, por ejemplo el SIS II (véase el artículo
46 del Reglamento (CE) n° 1987/2006 - DO L 318 de 28.12.2006, p. 4) y el VIS (véase artículo 43 del
Reglamento (CE) n° 767/2008 - DO L 218 de 13.8.2008, p. 60).
49
El Grupo de Trabajo del Artículo 29 es un órgano consultivo compuesto por un representante de las
autoridades de control de los Estados miembros, el Supervisor Europeo de Protección de Datos (SEPD)
y la Comisión (sin derecho de voto), que también realiza las funciones de secretaría. Véase:
http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
50
El Grupo de Trabajo del Artículo 29 tiene por misión asesorar a la Comisión sobre el nivel de
protección en la UE y en los terceros países, así como sobre cualquier otra medida relativa al
tratamiento de los datos personales.
ES 19 ES
La Comisión examinará los medios para:
Al igual que la tecnología, la forma en que nuestros datos personales se utilizan y comparten
en nuestra sociedad está en evolución constante. El reto que esto plantea a los legisladores es
el de establecer un marco legislativo que resista al tiempo. Al final del proceso de reforma, las
normas europeas de protección de datos deberían seguir asegurando un elevado nivel de
protección y garantizando la seguridad jurídica a las personas, a las Administraciones públicas
y a las empresas en el mercado interior, durante varias generaciones. Independientemente de
la complejidad de la situación o de la sofisticación de la tecnología, es esencial que las normas
que deben aplicar las autoridades nacionales y que deben cumplir las empresas y los
responsables del desarrollo de tecnologías, estén claramente definidas. Del mismo modo, las
personas deben tener claros los derechos de que gozan.
El enfoque global previsto por la Comisión para abordar los problemas y alcanzar los
objetivos esenciales puestos de relieve en la presente Comunicación servirá de base para los
debates posteriores con las otras instituciones europeas y otras partes interesadas, y se
traducirá a continuación en propuestas y medidas concretas de carácter legislativo y no
legislativo. A tal efecto, la Comisión desearía recibir información sobre las cuestiones que se
plantean en la presente Comunicación.
Sobre esta base, tras la elaboración de un análisis de impacto y teniendo en cuenta la Carta de
los Derechos Fundamentales de la UE, la Comisión presentará en 2011 propuestas
legislativas destinadas a revisar el marco jurídico de la protección de datos, con el objetivo de
reforzar la situación de la UE en materia de protección de los datos personales en el contexto
de todas las políticas de la UE, incluso en los ámbitos de la prevención de la delincuencia y la
aplicación de la ley. Paralelamente, se adoptarán medidas no legislativas, como la promoción
de la autorregulación y el examen de la viabilidad de los distintivos europeos de protección de
la intimidad.
51
Véase la sentencia del Tribunal de Justicia, de 9 de marzo de 2010, en el asunto C-518/07, Comisión
contra Alemania.
ES 20 ES
Convendrá también, en una fase posterior, examinar atentamente el impacto en otros
instrumentos sectoriales.
52
Entre estos instrumentos figura la Decisión Marco 2008/977/JAI del Consejo: los Estados miembros
deberán adoptar las medidas necesarias para cumplir las disposiciones de esta Decisión Marco antes del
27 de noviembre de 2010.
ES 21 ES